Utiliser des points d'observation dédiés

Vous pouvez configurer un point d'observation dédié pour définir un emplacement au sein de votre propre location afin d'exécuter vos moniteurs de façon sécuritaire.

Vous pouvez utiliser un point d'observation dédié pour surveiller les applications derrière un pare-feu ou dans un environnement réseau d'entreprise, qui n'est pas accessible par un point d'observation public. Le point d'observation dédié ne peut être utilisé par personne en dehors de votre location et vous disposez d'un contrôle total sur les paramètres du réseau. De cette façon, vous pouvez faire d'un point d'observation dédié une partie de votre réseau d'entreprise et surveiller les points d'extrémité qui ne sont pas accessibles au public.

Un point d'observation dédié est une ressource Application Performance Monitoring, qui peut être configurée dans une location à l'aide du modèle de point d'observation dédié pour la surveillance de la disponibilité APM fourni par Oracle, disponible dans le service Oracle Cloud Infrastructure Resource Manager. Un modèle est une configuration Terraform prédéfinie utilisée pour déployer des ressources en nuage dans un scénario commun. Le modèle Point d'observation dédié de la surveillance de la disponibilité APM peut être utilisé pour provisionner l'infrastructure et les préalables pour un point d'observation dédié dans Application Performance Monitoring. Pour plus d'informations sur le gestionnaire de ressources, voir Aperçu du gestionnaire de ressources.

Voici un diagramme d'architecture qui fournit un aperçu d'un point d'observation dédié dans un réseau sécurisé qui comprend un réseau en nuage virtuel (VCN) et comment il envoie des données du moniteur à Application Performance Monitoring :

Architecture du point d'observation dédié

La liste suivante décrit le flux de données dans le diagramme :

  • A - Mesures, fichiers d'archive HTTP (HAR) et captures d'écran envoyées au domaine APM
  • B - Flux des fichiers de configuration du moniteur et des modifications entre le gestionnaire de déploiement et le domaine APM
  • C - Traces, intervalles et mesures envoyés au domaine APM

Effectuer les tâches préalables pour le point d'observation dédié

Voici les tâches préalables à effectuer avant de configurer un point d'observation dédié.

Tâche Informations supplémentaires
Assurez-vous que vous disposez d'un quota suffisant pour les ressources requises pour créer une pile à l'aide du modèle Point d'observation dédié de la surveillance de la disponibilité APM.

Pour vérifier le quota de ressources dans le compartiment dans lequel le point d'observation dédié sera configuré :

  1. Ouvrez le menu de navigation et cliquez sur Gouvernance et administration. Sous gouvernance, cliquez sur Limites, quotas et utilisation.
  2. Dans la page Limites, quotas et utilisation, sélectionnez les services suivants dans la liste déroulante Services et vérifiez la disponibilité du quota :
    • Diffusion en continu : Au moins 1 partition doit être disponible.
    • Calcul : Au moins 2 instances de calcul doivent être disponibles pour la forme sélectionnée, avec 2 coeurs chacune. Les formes de calcul prises en charge sont VM.Standard.E3.Flex et VM.Standard.E4.Flex.
    • Moteur de conteneurs : Au moins 1 grappe et 2 noeuds doivent être disponibles.
    • Gestion des clés : Si vous voulez utiliser le service Oracle Cloud Infrastructure Vault, un quota pour le type de ressource virtual-vault-count doit être disponible dans le compartiment requis.
    • Resource Management/Points d'extrémité privés : Lorsque vous utilisez des points d'extrémité privés, au moins un élément private-endpoint-count doit être disponible.
Pour des informations sur les quotas dans Oracle Cloud Infrastructure, voir Quotas de compartiment.
Assurez-vous que l'utilisateur qui configure le point d'observation dédié dispose des autorisations pour accéder au service de gestionnaire de ressources, créer une pile (type de ressource : orm-stacks) et voir les tâches (type de ressource : orm-jobs), et créer et accéder aux ressources suivantes.
  • Référentiel du registre de conteneurs (type de ressource : repos)
  • Ressources du service de réseau (types de ressource : vcns, subnets, private-ips, public-ips, vnics)
  • Instances de calcul (type de ressource : instance-family)
  • Grappes Kubernetes (type de ressource : clusters)
  • Flux (type de ressource : streams)
  • Ressources IAM (types de ressource : policies, tag-namespaces, dynamic-groups)
  • Ressources du service de chambre forte (types de ressource : vaults, keys)
  • Journalisation des ressources de service (types de ressource : log-groups, unified-configuration)

Notez que le VCN doit être créé manuellement et que les autres ressources répertoriées ci-dessus sont créées dans le cadre de la pile du gestionnaire de ressources.

Points d'extrémité privés OKE : En plus de l'accès aux ressources ci-dessus, assurez-vous que l'utilisateur est autorisé à créer le point d'extrémité privé du gestionnaire de ressources,(resource-type: orm-private-endpoints)

Pour plus d'informations sur les politiques, voir :

For examples of the policies that must be created to grant a non-admin user the required permissions to create the Resource Manager stack, see perform-oracle-cloud-infrastructure-prerequisite-tasks.html#GUID-6F390B5F-DCF5-4299-A9E5-0C7F81A75E61__SECTION_ZG4_VW2_HTB.

Créez un VCN et ajoutez les règles de sécurité suivantes :

Pour le point d'extrémité public Oracle Kubernetes Engine (OKE) :

  • Règles de trafic entrant pour le point d'extrémité public d'API Oracle Kubernetes Engine (point d'extrémité public d'API Kubernetes) dans une liste de sécurité du sous-réseau public où le point d'extrémité public est hébergé. Notez que le bloc CIDR des noeuds de travail est l'intervalle CIDR du sous-réseau privé où les noeuds de travail de la grappe sont hébergés.
    • État : Avec état, Source : CIDR du VCN, Protocole/Dest.Port : ICMP 3, Description : Communication entre le VCN et le point d'extrémité de l'API Kubernetes
    • État : Avec état, Source : CIDR des noeuds de travail, Protocole/Dest.Port : TCP/12250, Description : Travailleur Kubernetes pour contrôler la communication du plan
    • État : Avec état, Source : CIDR des noeuds de travail, Protocole/Dest.Port : ICMP 3,4, Description : Détection de chemin
    • État : Avec état, Source : 0.0.0.0/0 ou des sous-réseaux spécifiques, Protocole/Dest.Port : TCP/6443, Description : Accès du client au point d'extrémité de l'API Kubernetes, inclut

      Source : CIDR des noeuds de travail - Pour la communication entre le travailleur Kubernetes et le point d'extrémité de l'API Kubernetes

      Source : 0.0.0.0/0- Pour le déploiement de graphique Helm

  • Règles de trafic sortant pour le point d'extrémité public de l'API Kubernetes dans une liste de sécurité du sous-réseau public où le point d'extrémité public est hébergé. Notez que le bloc CIDR des noeuds de travail est l'intervalle CIDR du sous-réseau privé où les noeuds de travail de la grappe sont hébergés.
    • État : Avec état, Destination : Tous les services de <region> dans Oracle Services Network, Protocol/Dest.Port : TCP/443, Description : Autoriser le plan de contrôle Kubernetes à communiquer avec OKE
    • État : Avec état, Destination : CIDR des noeuds de travail, Protocole/Dest.Port : TCP/ALL, Description : Tout le trafic vers les noeuds de travail
    • État : Avec état, Destination : CIDR des noeuds de travail, Protocole/Dest.Port : ICMP 3,4, Description : Détection de chemin
  • Règles entrantes dans la liste de sécurité du sous-réseau privé où les noeuds de travail seront hébergés :
    • État : Avec état, Source : CIDR du VCN, Protocole/Dest.Port : TCP/22, Description : Autoriser SSH
    • État : Avec état, Source : CIDR du VCN, Protocole/Dest.Port : ICMP 3,4, Description : Détection de chemin
    • État : Avec état, Source : CIDR du VCN, Protocole/Dest.Port : UDP/ALL, Description : Empêcher les problèmes d'hôte inconnu et accélérer l'exécution du moniteur
  • Règles de trafic sortant dans la liste de sécurité du sous-réseau privé où les noeuds de travail seront hébergés :
    • État : Avec état, Destination : 0.0.0.0/0, Protocole/Dest.Port : Tous les protocoles, Description : Tout le trafic pour tous les ports

Pour le point d'extrémité privé Oracle Kubernetes Engine (OKE) :

  • Règles de trafic entrant dans la liste de sécurité du sous-réseau privé où les noeuds de travail seront hébergés :
    • État : Avec état, Source : CIDR du VCN, Protocole/Dest.Port : TCP/22, Description : Autoriser SSH
    • État : Avec état, Source : CIDR du VCN, Protocole/Dest.Port : ICMP 3,4, Description : Détection de chemin
    • État : Avec état, Source : CIDR du VCN, Protocole/Dest.Port : UDP/ALL, Description : Empêcher les problèmes d'hôte inconnu et accélérer l'exécution du moniteur
    • État : Avec état, Source : CIDR des noeuds de travail, Protocole/Dest.Port : TCP/ALL, Description : Autoriser le gestionnaire de ressources à communiquer avec OKE lors de l'utilisation du point d'extrémité privé OKE.
  • Règles de trafic sortant dans la liste de sécurité du sous-réseau privé où les noeuds de travail seront hébergés :
    • État : Avec état, Destination : 0.0.0.0/0, Protocole/Dest.Port : Tous les protocoles, Description : Tout le trafic pour tous les ports
Pour plus d'informations sur la création d'un VCN, voir Pour créer un VCN.

Pour plus d'informations sur les règles de sécurité pour le point d'extrémité de l'API Kubernetes, voir Configuration des règles de sécurité dans les listes de sécurité ou les groupes de sécurité de réseau.

Assurez-vous qu'un domaine APM est créé et générez une clé de données privée pour le point d'observation dédié. Le point d'observation dédié sera enregistré dans le domaine APM et la clé de données privée est requise pour garantir qu'Application Performance Monitoring accepte les mesures de surveillance et les données recueillies par le point d'observation dédié. Il est recommandé que le nom de la clé de données privée soit dans le format suivant :

dvp_<dvp name>_<region>

Pour plus d'informations sur la création d'un domaine APM et la génération de clés de données, voir Créer un domaine APM.
Générez un jeton d'authentification pour extraire les artefacts de point d'observation dédié du registre de conteneur. Pour plus d'informations sur la génération d'un jeton d'authentification, voir Obtention d'un jeton d'authentification.

Configurer un point d'observation dédié

Pour configurer un point d'observation dédié au moyen du gestionnaire de ressources, vous devez créer une pile à l'aide du modèle Point d'observation dédié de la surveillance de la disponibilité APM.

Avant de configurer un point d'observation dédié, vous devez effectuer toutes les tâches préalables pour obtenir des autorisations et garantir la disponibilité des ressources requises. Pour plus d'informations sur les tâches préalables, voir Effectuer des tâches préalables pour le point d'observation dédié.
Pour configurer un point d'observation dédié :
  1. Ouvrez le menu de navigation, cliquez sur Services de développement. Sous Gestionnaire de ressources, cliquez sur Piles.
  2. Dans le volet de gauche, sélectionnez le compartiment dans lequel vous voulez configurer le point d'observation dédié.
  3. Cliquez sur Créer une pile.
    L'Assistant Créer une pile s'affiche.
  4. Dans la page informations sur la pile :
    1. Sélectionnez Modèle.
    2. Cliquez sur Sélectionner un modèle.
    3. Dans la boîte de dialogue Parcourir les modèles, cliquez sur l'onglet Services, sélectionnez Point d'observation dédié pour la surveillance de la disponibilité APM, puis cliquez sur Sélectionner un modèle.

      Les champs de la page Informations sur la pile sont mis à jour avec les détails du point d'observation dédié. Vous pouvez apporter des modifications au nom et à la description, sélectionner un compartiment différent dans lequel créer une pile, etc.

    4. Cliquez sur Suivant.
  5. Dans la page Configurer les variables, configurez les variables pour les ressources d'infrastructure que la pile créera lors de la configuration du point d'observation dédié.
    • Nom du point d'observation dédié
      1. Nom du point d'observation dédié : Entrez un nom unique pour le point d'observation dédié. Ce nom servira à enregistrer le point d'observation dédié dans un domaine APM et sera précédé des ressources d'infrastructure créées par la pile.
    • Configuration du VCN

      Notez que les valeurs sélectionnées dans les champs Configuration du VCN ne peuvent pas être modifiées ultérieurement.

      1. Utiliser un point d'extrémité d'API Kubernetes privé : Sélectionnez cette option pour créer une grappe OKE sur un sous-réseau privé.
      2. Compartiment du réseau : Sélectionnez le compartiment dans lequel réside le VCN.
      3. VCN : Sélectionnez le VCN que le point d'observation dédié utilisera.
      4. Sous-réseau de noeuds de travail de grappe : Sélectionnez le sous-réseau utilisé par les noeuds de travail dans la grappe de points d'observation dédiés.
      5. Sous-réseau de point d'extrémité de l'API Kubernetes publique : Sélectionnez le sous-réseau public pour héberger le point d'extrémité public de l'API Kubernetes.
      6. Sous-réseau de point d'extrémité d'API Kubernetes privé : Sélectionnez le même sous-réseau utilisé dans la puce d. Sous-réseau des noeuds de travail de la grappe.
    • Configuration du domaine
      1. Jeton d'authentification de l'utilisateur qui exécute la pile : Entrez le jeton d'authentification de l'utilisateur qui exécute la pile. Le jeton d'authentification est requis pour extraire les artefacts de point d'observation dédié du registre de conteneur.
      2. Clés de données privées de domaine : Entrez la clé de données privée de domaine APM générée pour le point d'observation dédié dans le format suivant :
        {"domainOcid":"<domain_OCID_value>" "domainDataKey":"<domain_private_datakey_value>" "domainRegion":"<domain_region_name>"}

        Par exemple :

        {"domainOcid":"ocid1.apmdomain.oc1.phx.atrstahnenntlsundfserq8re3lfg6sw2dwedcfgthyuijk" "domainDataKey":"4WESK3ABCDE9LBTRUGSC9S2NG9STODRN" "domainRegion":"us-phoenix-1"}
    • Configuration OKE
      1. Version de Kubernetes : Sélectionnez la version de Kubernetes des noeuds de travail de la grappe. Notez que le déclassement de la version de Kubernetes n'est pas pris en charge.
      2. Forme : Sélectionnez la forme d'instance de calcul des noeuds de travail à créer dans le groupe de noeuds Point d'observation dédié. Notez que seuls VM.Standard.E3.Flex et VM.Standard.E4.Flex sont pris en charge.
      3. Taille du groupe de noeuds : Sélectionnez le nombre de noeuds de travail dans le groupe de noeuds Point d'observation dédié.
      4. Clé SSH : Facultativement, fournissez la clé publique SSH pour accéder aux noeuds de travail privés de la grappe, en sélectionnant l'option Sélectionner un fichier de clé SSH et en chargeant le fichier de clé SSH (.pub), ou en sélectionnant l'option Coller la clé SSH et en collant la clé SSH. Notez que la clé ne sera appliquée qu'aux nouveaux noeuds.
    • Configuration du proxy
      1. Utiliser le mandataire de l'URL cible? : Sélectionnez cette option pour fournir les détails du mandataire si les cibles surveillées sont derrière un serveur mandataire. Lorsque vous cochez cette case, les champs suivants sont affichés :
        1. Est-ce que le mandataire HTTPS est? : Sélectionnez cette option si l'accès du mandataire est sécurisé.
        2. URL du mandataire : Entrez l'URL du serveur mandataire cible. Par exemple, https://proxy.example.com.
        3. Port du mandataire : Entrez le numéro de port du serveur mandataire cible. Par exemple, 8080.
        4. Ignorer l'URL : Entrez des noms de domaine séparés par des virgules pour ignorer les paramètres de mandataire. Par exemple, example1.com et example2.com. Notez que vous devez éviter les caractères génériques tels qu'un astérisque (*).
        5. Type d'authentification : Sélectionnez le type d'authentification pour le serveur mandataire cible. L'option par défaut est Aucun. Toutefois, si vous sélectionnez BASIC dans la liste déroulante, vous devez spécifier le nom d'utilisateur et le mot de passe dans les champs Nom d'utilisateur et Mot de passe.
      2. Utiliser le mandataire du point d'extrémité de chargement des données de mesure? : Indiquez les détails du mandataire pour charger les mesures surveillées. Lorsque vous cochez cette case, les champs suivants sont affichés :
        1. Est-ce que le mandataire HTTPS est? : Sélectionnez cette option si l'accès du mandataire est sécurisé.
        2. URL du mandataire : Entrez l'URL du serveur mandataire du point d'extrémité de chargement des données de mesures pour communiquer avec l'agent de collecte APM. Par exemple https://127.0.0.1.
        3. Port mandataire : Entrez le numéro de port du serveur mandataire du point d'extrémité de chargement des données de mesures. Par exemple, 8080.
        4. Type d'authentification : Sélectionnez le type d'authentification pour le serveur mandataire du point d'extrémité de chargement des données de mesures. L'option par défaut est Aucun. Toutefois, si vous sélectionnez BASIC dans la liste déroulante, vous devez spécifier le nom d'utilisateur et le mot de passe dans les champs Nom d'utilisateur et Mot de passe.
    • Configuration de la chambre forte
      1. Activer la prise en charge du service de chambre forte? : Sélectionnez cette option pour utiliser le service Oracle Cloud Infrastructure Vault pour stocker les clés secrètes et gérer les ressources chiffrées. Si vous sélectionnez l'option permettant d'activer la prise en charge de la chambre forte, l'option Utiliser une chambre forte existante? s'affiche et vous pouvez la sélectionner pour utiliser une chambre forte existante afin de stocker des clés secrètes et de gérer des ressources chiffrées. Si la case Activer la prise en charge de la chambre forte? est cochée et que la case Utiliser une chambre forte existante? n'est pas cochée, une nouvelle chambre forte sera créée. Notez que l'option de désactivation de la prise en charge de la chambre forte n'est pas disponible actuellement.
    • Configuration de journal
      1. Charger les journaux? : Sélectionnez cette option pour charger les journaux dans le service Oracle Cloud Infrastructure Logging.
    • Mettre à niveau automatiquement les artefacts DVP
      1. Activer la mise à niveau automatique? : Sélectionnez cette option pour mettre à niveau automatiquement le gestionnaire de déploiement de la surveillance de la disponibilité et les moniteurs vers la dernière version.
  6. Dans la page Vérifier, vérifiez la configuration de la pile et effectuez une des actions suivantes :
    • Sélectionnez l'option Exécuter l'application sur la pile créée? et provisionnez immédiatement les ressources définies dans la configuration Terraform en exécutant l'action Appliquer sur la nouvelle pile, puis cliquez sur Créer.
    • Cliquez sur Créer et, facultativement, cliquez sur Planifier dans la page Détails de la pile pour générer un plan d'exécution (exécuter une tâche de plan) afin d'identifier les erreurs, le cas échéant. Vous pouvez ensuite cliquer sur Appliquer pour exécuter la tâche d'application pour la pile.
      • Pour plus d'informations sur les concepts du gestionnaire de ressources tels que les plans et les tâches, voir Concepts clés.
      • Pour plus d'informations sur les options disponibles dans la page Détails de la pile et les tâches pouvant être effectuées, voir Gestion des piles et de la gestion des tâches.
Les ressources sont créées et attachées à la pile. Une fois la pile configurée, allez à Surveillance de la disponibilité et cliquez sur Points d'observation dédiés dans le volet de gauche. Le point d'observation dédié est listé dans la page Points d'observation dédiés. Pour vérifier si le point d'observation dédié est prêt à être utilisé, allez à la page Moniteurs, cliquez sur Créer un moniteur et, dans la page Paramètres d'exécution de l'assistant Créer un moniteur, vérifiez que le point d'observation dédié nouvellement créé est répertorié dans la liste déroulante Points d'observation. Pour plus d'informations sur la création d'un moniteur, voir Créer un moniteur.

Surveiller les points d'observation dédiés

Après avoir configuré un point d'observation dédié, vous pouvez surveiller le point d'observation dédié.

Pour surveiller un point d'observation dédié :

  1. Accédez à la page Surveillance de la disponibilité.
  2. Dans le volet de gauche, cliquez sur Points d'observation dédiés, sélectionnez le compartiment dans lequel vous avez créé le point d'observation dédié et le domaine APM dans lequel il est enregistré.

    Le point d'observation dédié est indiqué.

  3. Cliquez sur le nom du point d'observation dédié.

    La page <name of Dedicated Vantage Point (Nom du point d'observation dédié)> s'affiche.

Dans la page <nom du point d'observation dédié>, vous pouvez :
  • Vérifiez les informations telles que la région, la date de création du point d'observation dédié, etc. Vous pouvez également effectuer des actions telles que l'ajout de marqueurs ou la suppression du point d'observation dédié. Notez que si vous supprimez le point d'observation dédié, tout moniteur exécuté uniquement sur le point d'observation dédié sera également supprimé. Si le moniteur s'exécute également sur d'autres points d'observation publics ou dédiés, il ne sera pas supprimé.
  • Faites défiler l'affichage vers le bas pour voir les mesures liées au point d'observation dédié.
  • Cliquez sur Surveiller sous Ressources dans le volet de gauche pour voir les moniteurs exécutés sur le point d'observation dédié, le cas échéant.

Mettre à jour un point d'observation dédié existant

Vous pouvez mettre à jour un point d'observation dédié existant en mettant à jour la configuration de la pile de points d'observation dédiés dans le gestionnaire de ressources.

Voici les étapes à effectuer pour mettre à jour un point d'observation dédié :

  1. Créez une pile à l'aide du dernier modèle de point d'observation dédié pour la surveillance de la disponibilité APM. Pour plus d'informations, voir Configurer un point d'observation dédié.
  2. Dans la page Détails de la pile de la nouvelle pile, cliquez sur Planifier pour générer un plan d'exécution (exécuter une tâche de planification). La nouvelle tâche de planification est indiquée sous Tâches. Pour plus d'informations, voir Pour générer un plan d'exécution (exécuter une tâche de planification) dans Gestion des piles et de la gestion des tâches.
  3. Dans la page Détails de la tâche de la tâche de planification, cliquez sur Télécharger la configuration Terraform pour télécharger le fichier .zip de configuration Terraform. Pour plus d'informations, voir Pour voir les tâches et les détails des tâches dans Gestion des piles et de la gestion des tâches.
  4. Allez à la page Piles et au point d'observation dédié à mettre à jour, cliquez sur l'option Modifier. Pour plus d'informations, voir Pour modifier une pile dans Gestion des piles et de la gestion des tâches.
  5. Dans la page Informations sur la pile de l'Assistant Modifier la pile, mettez à jour la pile de configuration à l'aide du fichier .zip de configuration Terraform que vous avez téléchargé à l'étape 3. Pour plus d'informations, voir Pour mettre à jour la configuration d'une pile dans Gestion des piles et de la gestion des tâches.